Find Us On Social Media :

Awas, Penjahat Siber Gunakan Layanan Cloud untuk Serangan Phising

By Liana Threestayanti, Rabu, 22 Juli 2020 | 11:05 WIB

Ilustrasi Phising

Serangan phising memanfaatkan kecerobohan user, terutama pengguna awam. Namun baru-baru ini, penyedia solusi keamanan Check Point menemukan serangan phising yang dapat mengelabui bahkan pengguna yang sangat memahami soal keamanan.

Ciri-ciri yang kerap menjadi patokan pengguna ketika mewaspadai serangan phising adalah nama domain yang mencurigakan atau situs web yang tidak dilengkapi sertifikat HTTPS. Tapi apa yang terjadi ketika justu layanan cloud ternama, seperti Google Cloud atau Microsoft Azure, yang menjadi tempat “bersemayamnya” laman-laman phising? Para threat actor ini memang licin, karena dengan cara ini, mereka dapat menyembunyikan niat jahatnya dan mengelabui calon korban yang sebenarnya sudah sangat paham masalah security.

Penyedia layanan keamanan Check Point baru-baru ini menemukan kasus serangan phising yang berawal dari dokumen berformat PDF yang diunggah ke Google Drive, dan di dalamnya mengandung tautan ke laman phising.

Laman phising yang tersimpan di storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, meminta pengguna melakukan login ke Office 365 atau e-mail atau surat elektronik (surel) kantor.

Ketika pengguna memilih salah satu opsi, muncul jendela pop-up yang menampilkan laman login Outlook.

Setelah pengguna memasukkan kredensialnya, pengguna akan dibawa ke sebuah file berformat PDF yang berisi laporan dari perusahaan konsultan ternama global

Selama tahap-tahap ini, pengguna sama sekali tidak curiga karena laman phising berada di Google Cloud Storage. Namun jika kita melihat source code laman phising itu, terlihat bahwa sebagian besar sumber daya dimuat oleh situs web milik penjahat siber, prvtsmtp[.]com:

Bahkan user yang sangat waspada pun mungkin tertipu karena penyerang menggunakan Google Cloud Functions, sebuah layanan yang memungkinkan kode dijalankan di cloud.  Dalam kasus ini, sumber daya laman phising dimuat dari Google Cloud Functions instance tanpa mengekspos domain jahat milik si penyerang:

Dan setelah diinvestigasi, prvtsmtp[.]com menggunakan IP address Ukraina (31.28.168[.]4). Domain-domain lain yang terkait serangan ini juga ternyata menggunakan IP address yang sama. Ada juga yang menggunakan IP address berbeda tapi berada di netblock yang sama.

Hal ini memberikan wawasan tentang cara para penjahat maya melakukan aktivitas jahatnya dari tahun ke tahun, dan bagaimana mereka mengembangkan kampanye serta teknik-teknik baru.

Pada tahun 2018, Check Point mengamati aktivitas penyerang yang menempatkan laman phising langsung di situs web jahat. Selanjutnya, sebelum memanfaatkan Google Cloud Storage, mereka juga pernah menggunakan Azure Storage untuk menaruh laman phising.

Dan kini, penjahat siber sepertinya akan memanfaatkan berbagai layanan cloud storage. Teknik ini mulai popular karena deteksi terhadap serangan akan sulit dilakukan. Pasalnya, layanan-layanan tersebut umumnya digunakan secara legal dan tidak terlihat mencurigakan sehingga sulit bagi korban dan admin jaringan untuk mengidentifikasi dan menangkis serangan-serangan tersebut.

Google menangguhkan proyek hacker ini pada tahun 2020 dengan alasan phising abuse, yang kemudian diikuti penangguhan URL dan semua URL yang berkaitan dengan proyek tersebut. Google akan melakukan investigasi dan menangguhkan laman-laman phising ini saat kita mengetahui keberadaanya berkat data feed dari Safe Browsing atau laporan lainnya.

Insiden ini mengingatkan kita bahwa para scammer dan penjahat siber akan selalu berupaya menutupi niat jahatnya dan mengelabui pengguna, termasuk pengguna yang paham soal keamanan. Langkah-langkah apa yang dapat kita lakukan agar selalu terlindung dari serangan-serangan oportunis ini?

1.Waspadai domain-domain yang terlihat aspal (asli tapi palsu), kesalahan ejaan pada surel atau situs web, dan pengirim surel tak dikenal.

2.Berhati-hatilah ketika menerima file yang dikirim melalui surel oleh pengirim tak dikenal, apalagi ketika si pengirim surel menginstruksikan Anda melakukan hal-hal yang tidak biasanya Anda lakukan.

3.Pastikan Anda memesan/membeli barang di tempat yang terpercaya. Salah satu caranya adalah dengan TIDAK mengeklik pada tautan-tautan promosi yang ada di surel. Sebaiknya Anda browsing di mesin pencari, seperti Google, dan klik tautan yang ada di laman hasil browsing.

4.Berhati-hatilah dengan penawaran “istimewa”, misalnya “menyembuhkan dari virus corona, hanya US$150”. Penawaran-penawaran semacam ini biasanya tidak dapat dipercaya.

5.Pastikan Anda tidak menggunakan password yang sama untuk beberapa aplikasi dan akun.

Check Point juga mengingatkan bahwa organisasi harus mencegah terjadinya serangan zero day dengan arsitektur siber yang end-to-end, untuk memblokir situs-situs phising dan memberikan peringatan secara real time ketika user menggunakan password yang sama.

Selain itu, organisasi juga harus memahami bahwa mailbox milik user adalah “pintu/gerbang” masuk ke organisasi. Skema-skema phising yang memiliki target dapat mencuri hingga US$300 miliar tiap bulannya dari organisasi bisnis, sehingga perusahaan harus mempertimbangkan pengamanan surel juga.